La Guardia Civil ha desmantelado una de las redes de phishing bancario más activas en España con la detención de un joven brasileño de 25 años, conocido como GoogleXcoder, considerado el principal proveedor de herramientas para el robo masivo de credenciales en el entorno hispanohablante.

Desde 2023, su actividad había facilitado campañas masivas de suplantación de identidad de entidades bancarias y organismos públicos, causando millones de euros en pérdidas y cientos de denuncias. A través de un modelo Crime as a Service (CaaS), ofrecía kits de phishing personalizados, con soporte técnico, a otros delincuentes mediante Telegram, donde incluso existía un grupo llamado “Robarle todo a las abuelas”.

La investigación, liderada por el Departamento contra el Cibercrimen de la UCO, concluyó con 6 registros en diferentes localidades españolas (Valladolid, Zaragoza, Barcelona, Palma de Mallorca, San Fernando y La Línea de la Concepción), permitió la incautación de dispositivos electrónicos y se recuperaron fondos vinculados al dinero sustraído a las víctimas, almacenados en distintas plataformas digitales.

Según la Guardia Civil, desde 2023 se han venido sucediendo a nivel nacional una serie de campañas de 'phishing', en las que los cibercriminales suplantaban a los bancos más importantes del país y a organismos para engañar a las víctimas y obtener sus datos personales. Estas campañas de robo de credenciales han derivado en una cantidad importante de denuncias de personas afectadas, millones de euros sustraídos y el origen de una incipiente alarma social

El Departamento contra el Cibercrimen de la UCO inició una investigación con el objetivo de alcanzar no solo a los ejecutores, sino al “cerebro” que diseñaba las herramientas utilizadas por numerosos grupos delictivos para estafar. Los investigadores pusieron la pista sobre un desarrollador conocido como “GoogleXcoder”, creador de la herramienta para la clonación. Además, servía a los delincuentes servicios que incluían personalización, soporte técnico y actualizaciones.

"Robarle todo a las abuelas”

Los cibercriminales contactaban con GoogleXCoder por la aplicación de mensajería Telegram, contrataban sus servicios por cientos de euros al día y explotaban esas herramientas de forma abusiva, subraya la Guardia Civil. En un día podían suplantar a decenas de entidades, engañar a miles de personas y robar millones de euros. "Hasta tal punto llegaba la sensación de impunidad de estos autores, que uno de los grupos de mensajería utilizados por estos delincuentes para ejecutar las estafas se denominaba 'Robarle todo a las abuelas'", señala la nota del instituto armado.

El individuo que se ocultaba tras GoogleXcoder era totalmente desconocida por las fuerzas y cuerpos de seguridad, no solo a nivel nacional sino también internacional. Su localización requirió un complejo trabajo operativo de investigación ya que se desplazaba constantemente a distintos domicilios de diferentes provincias de España y se servía de líneas de teléfono y tarjetas de pago a nombre de entidades suplantadas para evitar su localización. Su actividad delictiva le permitía mantener una vida como 'nómada digital' junto a su familia.

Fue detenido en San Vicente de la Barquera (Cantabria), donde se le incautaron dispositivos electrónicos que contenían los kits de 'phishing' de todas las entidades suplantadas, las cuentas personales del investigado y conversaciones con decenas de ciberestafadores.

El análisis forense de los dispositivos intervenidos, así como de las transacciones en criptomonedas, se prolongó durante más de un año debido a su complejidad, pero permitió reconstruir todo el entramado delictivo e identificar a seis personas directamente relacionadas con el uso de estos servicios diseñados por el joven. La investigación continúa abierta y no se descartan más actuaciones.